Ingeniería de la Privacidad

2019-09-11-gears

La profesionalización del sector de la privacidad es necesaria para hacer efectivos nuestros principios constitucionales en la sociedad de la información. La privacidad es una materia particularmente compleja que, a la hora del desarrollo de nuevos productos o servicios, ha de contemplar múltiples aspectos organizativos, técnicos y de aplicación jurídica. De ahí que se haya acuñado un nuevo término para la especialización necesaria para implementación práctica de tratamientos respetuosos con la normativa de protección de datos: “Ingeniería de la Privacidad”.

El Instituto Nacional de Estándares y Tecnología (NIST) define la Ingeniería de la Privacidad como:

Una especialidad de la ingeniería de sistemas enfocada a proporcionar las directrices necesarias para disminuir los riesgos relativos a la privacidad y permitir a las entidades tomar decisiones fundamentadas con relación a la asignación de recursos y la efectiva implementación de controles en los sistemas de información.

Las organizaciones han sido conscientes durante décadas de la necesidad de prevenir el acceso no autorizado a sistemas y datos, y la ciberseguridad se ha desarrollado como disciplina enfocada a prevenirlo. La recogida de datos personales en aplicaciones tan complejas como las que involucran hiperconectividad, decisiones automatizadas, perfilado o monitorización masiva, puede provocar que algunos tratamientos, aun operando de la forma prevista por sus diseñadores, trasgredan la normativa de protección de datos o las expectativas de respeto a la privacidad de los ciudadanos. Si bien el conocimiento de principios jurídicos o la ingeniería de la seguridad son elementos esenciales para la implementación de cualquier tipo de política de la información en una organización, la Ingeniería de la Privacidad aparece como su complementario a la hora de gestionar los riesgos a la privacidad asociados con el funcionamiento planificado y autorizado de sistemas que recopilan, usan y divulgan datos personales.

La Ingeniería de la Privacidad es una disciplina que tiene el propósito de traducir los requisitos legales que establecen derechos y libertades de los ciudadanos en guías prácticas y herramientas que permitan aplicar de forma viable los principios de Privacidad desde el Diseño. Teniendo en cuenta que la implementación efectiva de un tratamiento involucra tanto los aspectos organizativos de la entidad como los más puramente técnicos, las disciplinas involucradas en la Ingeniería de la Privacidad incluyen la gestión de procesos, gestión del riesgo, calidad, ingeniería del software, seguridad de la información, ingeniería del conocimiento, y por supuesto, conocimiento práctico de la normativa de protección de datos.

Aunque el impulso a la Ingeniería de la Privacidad se remonta al menos a 2014 con la iniciativa IPEN (Internet Privacy Engineering Network), ha recibido a finales de 2018 el respaldo explícito del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE Position “Statement In Support of Privacy Engineering”) como una especialidad diferenciada en la que es necesario realizar un importante trabajo de apoyo al desarrollo de métodos sistemáticos, estandarización, formación y compromiso de los profesionales. La realidad del mercado se impone con relación a la Ingeniería de la Privacidad y ya se está reclamando profesionales específicamente con dicho perfil (oferta de empleo publicada por FacebookGoogleHP). A raíz de dicha demanda se ha iniciado la oferta formativa en universidades tan prestigiosas como Carnegie Mellon o la universidad Johns Hopkins.

Todavía existe un largo camino para que la Ingeniería de la Privacidad alcance un nivel de madurez semejante a otras disciplinas. Por ello, están en marcha iniciativas como el NIST Privacy Engineering Program’s (PEP), cuya misión es la creación de entornos, modelos de riesgos, guía, herramientas y estándares, o como el proyecto PDP4e (Privacy Data Protection for Engineering), cuyo propósito es también desarrollar métodos y herramientas de ingeniería que incorporen los principios del RGPD, entre otros proyectos.

Con el mismo propósito, la Agencia Española de Protección de Datos creo la Unidad de Evaluación y Estudios Tecnológicos, donde no solo se desarrollan guías, estudios y herramientas para implementar el principio de Privacidad desde el Diseño establecidos en el RGPD en particular, sino también el resto de los principios de Responsabilidad Proactiva. La AEPD desarrolla esta iniciativa en colaboración con entidades nacionales, europeas e internacionales, promueve el desarrollo de los principios de Privacidad desde el Diseño, se realiza una labor de divulgación específica en estos temas, compilando información y resultados en la siguiente dirección dentro de su portal web:

https://www.aepd.es/areas/innovacion/index.html

https://www.aepd.es/en/areas/innovacion/index.html

Entradas relacionadas